Вопросы и ответы / Вопрос — 17 февраля 2010 г.

Основным правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.06 №152-ФЗ «О персональных данных» (далее — Федеральный закон №152-ФЗ). Следует обратить внимание, что данный Закон был принят 27.07.06, вступил в силу в соответствии с частью 1 ст. 25 этого документа по истечении 180 дней после дня офи­циального опубликования (опубликован в «Российской газете» 29.07.06). С начала действия рассматриваемого Закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется согласно ему. Однако информационные системы персональных дан­ных, созданные до дня вступления Закона в силу, должны быть при­ведены в соответствие с его требованиями не позднее 01.01.10. Таким образом, в настоящее время постепенно завершается переходный период по внесению необходимых изменений в существующие инфор­мационные системы персональных данных.

Данный Закон принят в обеспечение защиты прав и свобод чело­века и гражданина при обработке его персональных данных и имеет целью защиту прав на неприкосновенность частной жизни, личной и семейной тайны.

Под персональными данными согласно законодательству понима­ется любая информация, относящаяся к определенному или опреде­ляемому на основании такой информации физическому лицу (субъ­екту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператором выступает государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также опреде­ляющие цели и содержание такой обработки.

В соответствии со ст. 7 Федерального закона № 152-ФЗ операторы и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность. В данном Законе также разъ­ясняется, что конфиденциальность персональных данных представ­ляет собой обязательное требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Не требуется обеспечивать конфиденциаль­ность персональных данных:

• в случае обезличивания персональных дан­ных. Под обезличиванием персональных данных понимаются действия, в результате которых невозможно определить принад­лежность персональных данных конкретно­му субъекту;
• в отношении общедоступных персональных данных. К таким данным в соответствии с Законом относятся персональные данные, доступ неограниченного круга лиц к кото­рым предоставлен с согласия субъекта пер­сональных данных или на которые в соот­ветствии с федеральными законами не рас­пространяется требование соблюдения конфиденциальности.

Во всех остальных случаях конфиденциаль­ность персональных данных должна обеспечи­ваться в полном объеме.

Статья 24 Федерального закона № 152-ФЗ пре­дусматривает ответственность за нарушение тре­бований настоящего Федерального закона.

Так, лица, виновные в нарушении требований настоящего Федерального закона, несут граждан­скую, уголовную (ст. 137, 272 Уголовного кодек­са РФ), административную (ст. 5.39, 13.11, 13.14 Кодекса РФ об административных правонаруше­ниях) , дисциплинарную (ст. 192 Трудового кодек­са РФ) и иную предусмотренную законодательст­вом Российской Федерации ответственность.

Например:

• статья 137 Уголовного кодекса РФ предус­матривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его лич­ную или семейную тайну, без его согласия, либо распространение этих сведений в пуб­личном выступлении, публично демонст­рирующемся произведении или средствах массовой информации в виде штрафов в размере до 200 000 руб. или в размере зара­ботной платы или иного дохода осужденно­го за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четы­рех месяцев;
• статья 13.11 Кодекса РФ об административ­ных правонарушениях предусматривает ответственность за нарушение установлен­ного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или нало­жения административного штрафа на граж­дан в размере от 300 до 500 руб.; на должнос­тных лиц — от 500 до 1000 руб.; на юриди­ческих лиц — от 5000 до 10 000 руб.;
• статья 192 Трудового кодекса РФ за совер­шение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполне­ние работником по его вине возложенных на него трудовых обязанностей, работода­тель имеет право применить следующие дисциплинарные взыскания:

1. замечание;
2. выговор;
3. увольнение по соответствующим осно­ваниям.

Законодательством Российской Федерации ответственность за надлежащую защиту персо­нальных данных возлагается на организации, в которых персональные данные обрабатываются. Уполномоченным органом по контролю за соб­людением законодательства о персональных дан­ных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридичес­ких лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении конт­роля систем защиты конфиденциальных данных или использования криптосредств. При обнару­жении неправомерных действий с персональны­ми данными их обработка должна быть прекра­щена до устранения выявленных нарушений.

Таким образом, всеми организациями и физи­ческими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных. Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.

На вопрос отвечала аудитор ООО «Аудиторская консалтинговая компания «Ветар» Прошина Екатерина Александровна.

т. 702-14-10